リスクは「Low」らしいが、かなりの数で検出されてしまい煩わしいので対策を行う事にした。 まず、どんな内容のアラートか調べる為にググってみた。このオプション自体はMSが独自で定義している項目で、Content-Typeだけでファイルタイプを決定するのではなく、コンテンツ内容などもsniffして(調べて)ファイルタイプを決めており、その結果としてXSSが発生することがある、という内容だった。 Webページ設定 対策として、対象サイトであるPHPでコーディングしているWebページに以下の1行を投入した。 <? header("X-Content-Type-Options: nosniff"); ?> その後、対策効果を確認するために、あらためて、OWASP ZAP(Zed Attack Proxy)で検査を実施。 上記のコーディングを追加した該当Webページ自体では「X-Content-Typ
![X-Content-Type-Options 対策 | Check!Site](https://cdn-ak-scissors.b.st-hatena.com/image/square/e2646ae583f113608cfec9f0166d65a2592da5f5/height=288;version=1;width=512/https%3A%2F%2Fwww.checksite.jp%2Fwp-content%2Fuploads%2F2013%2F11%2FCheckSite-Facebook.png)